해커, 프랑스 정부의 보안 메시징 앱 'Tchap'에 침투 성공해

Hacker Breaks Into French Government's New Secure Messaging App

화이트햇(White-hat) 해커가 프랑스 정부가 새로 출시한 보안 암호화 메시징 앱에 침투할 수 있는 방법을 발견했습니다.

<이미지 출처: https://thehackernews.com/2019/04/france-Tchap-secure-messenger.html>

해당 앱은 정부 당국과 관계된 이메일 계정이 있는 공무원들 및 정치인들만 사용할 수 있는 프라이빗한 앱입니다.

Tchap이라 명명된 이 엔드 투 엔드(end-to-end) 암호화 오픈 소스 메시징 앱은 프랑스의 정부가 그들의 통신을 감청할 수 없도록 하기 위해 만들었습니다.

해당 앱을 통한 공무원, 국회의원, 장관들의 데이터는 프랑스 국내에 위치한 서버에 저장됩니다.

Tchap 앱은 오픈 소스 인스턴트 메시징 소프트웨어인 Riot 클라이언트를 사용하여 만들어졌습니다.

Riot은 종단 간 암호화 통신을 위한 셀프 호스팅이 가능하며, Matrix 프로토콜을 구현한 오픈 소스 인스턴트 메시징 소프트웨어입니다.

해커들은 Riot과 Matrix의 서버에 침투해 암호화되지 않은 개인 메시지, 패스워드 해시, 접근 토큰, 프로젝트 관리자들이 패키지를 서명하는데 사용한 GPG 키를 훔쳐내는데 성공했습니다.

Matrix에 실행된 사이버 공격은 매우 심각해, 관리자들은 서비스의 프로덕션 인프라를 몇 시간 동안이나 중단하고 Matrix.org의 모든 사용자들을 로그아웃 시켜야 했습니다.

Tchap 앱은 구글 플레이 스토어에서 누구나 다운로드할 수 있지만, @gouv.fr 또는 @elysee.fr와 같은 정부에서 발행된 이메일 계정이 있는 사용자만이 가입 및 접근할 수 있습니다.

하지만 프랑스의 보안 연구원인 트위터 명 'Elliot Alderson'은 정부 발행 이메일 주소 없이도 누구나 Tchap 앱에 가입하고, 그룹 및 채널에 접근할 수 있는 보안 취약점을 발견했습니다.

Robert는 블로그 포스팅을 통해 그가 Tchap의 안드로이드 앱의 이메일 인증 버그를 악용하여 일반 이메일 ID를 이용한 계정 생성 방법을 시연했습니다.

그는 이메일을 fs0c131y@protonmail.com@presidence@elysee.fr로 수정했더니 Tchap으로부터 이메일을 받는데 성공했으며, 계정을 인증할 수 있었다고 밝혔습니다.

따라서 그는 엘리제의 직원으로 위장하여 로그인했으며, Tchap 앱의 공개 방 접근이 가능했습니다.

Robert는 Matrix 팀에 자신의 연구 결과를 알렸고, Matrix 측은 이를 바로 수정하여 업데이트했습니다.

또한 이 문제가 DINSIC 매트릭스 구현에만 존재했다고도 밝혔습니다.

출처:

https://thehackernews.com/2019/04/france-Tchap-secure-messenger.html

https://medium.com/@fs0c131y/tchap-the-super-not-secure-app-of-the-french-government-84b31517d144

https://github.com/dinsic-pim/tchap-android

https://twitter.com/matrixdotorg/status/1118859344790077441

https://matrix.org/blog/2019/04/18/security-update-sydent-1-0-2/